Beitrag für die Kongressdokumentation zur OMNICARD 2006 Statement zur Podiumsdiskussion „Digitale Signatur: Ist die Regulierung gescheitert“ Behördliche Realität degradiert das Signaturgesetz zur Farce Michael Leistenschneider, DATEV eG, Nürnberg Welchen Sinn hat ein Signaturgesetz, das bei den meisten relevanten Anwendungen nicht berücksichtigt wird? Im Jahr 2001 mit anerkennenswerten Intensionen beschlossen, eine sichere Grundlage für den rechtsverbindlichen elektronischen Rechts- und Geschäftsverkehr in Deutschland zu schaffen, findet das deutsche Signaturgesetz heute kaum Anwendungsfelder. Eigentlich ist rechtswirksames Handeln auf elektronischem Weg danach nur unter Einsatz der qualifizierten elektronischen Signatur möglich. Dennoch weichen gerade öffentliche Institutionen häufig vom postulierten hohen Standard ab. Gerade um diesen hohen Sicherheitsstandard zu gewährleisten, wurden aber den SignaturAnbietern, die gesetzeskonforme Produkte liefern wollten, enorme Auflagen gemacht. Mit viel Aufwand schufen die deutschen TrustCenter-Betreiber unter dieser Prämisse die Infrastruktur für eine sichere Authentisierung und Signatur, die unter ständiger Beaufsichtigung durch die Bundesnetzagentur betrieben wird. Angesichts der Vorgehensweise von Behörden und Institutionen stellt sich allerdings die Frage, ob dieser vom Gesetzgeber verursachte Aufwand gerechtfertigt ist. Behörden und Institutionen scheuen den Aufwand Ein aktuelles Beispiel für eine Behörde, die sich bei einer Internet-Anwendung gegen den sichereren und für den einfacheren Weg entschieden hat, ist die Finanzverwaltung. Für ihr kürzlich gestartetes ElsterOnline-Portal schließt sie mit einer eigens verabschiedeten Sicherheits-Policy explizit die Verwendung von qualifizierten elektronischen Signaturen aus. Stattdessen wird eine neu konstruierte eigene Lösung in Betrieb genommen. Leider ist diese Vorgehensweise kein Einzelfall. Entgegen der rechtlichen Anforderung begnügen sich die Mehrzahl der in den vergangenen Jahren geschaffenen OnlineAnwendungen der öffentlichen Verwaltung mit weniger sicheren – und damit einhergehend weniger aufwändigen – Authentifizierungsverfahren. So sind beispielsweise im Rahmen des Projekts BundOnline inzwischen Hunderte von Anwendungen elektronisch abgebildet worden, doch auf qualifizierten Zertifikaten basieren davon nur wenige Anwendungen. Der Grund dafür: Den Behörden selbst ist die Verarbeitung qualifizierter Zertifikate zu aufwändig. Bei näherer Betrachtung verwundert diese Einstellung keineswegs. Insbesondere Behörden und öffentliche Institutionen sind strukturell nicht auf die Verarbeitung qualifizierter elektronischer Signaturen vorbereitet. Sowohl ihre bestehenden IT-Budgets als auch die vorherrschenden Arbeitsabläufe genügen nicht den entsprechenden Anforderungen. Daraus folgt unweigerlich, dass die nötigen Anfangsinvestitionen von diesen Institutionen als zu hoch betrachtet werden. Aufseiten der Anwendungs-Anbieter (insbesondere denen der öffentlichen Hand) kann vor diesem Hintergrund also durchaus von einer Überregulierung gesprochen werden. Hier ein Scheitern zu konstatieren, würde zu weit führen. Aber sicher wäre weniger in diesem Fall mehr gewesen. Diskrepanz zwischen Lippenbekenntnis und Realität Im Zusammenhang mit der beschriebenen Situation steht auch zu befürchten, dass es bei den in Aussicht gestellten Kartenprojekten des Bundes – JobCard, Gesundheitskarte, elektronischer Personalausweis – zu einer Abkehr von der qualifizierten elektronischen Signatur kommt. Diese berechtigten Bedenken haben auch die Hoffnung deutlich gedämpft, dass daraus maßgebliche Impulse für den Durchbruch der elektronischen Signatur resultieren werden. Trotz der Publicity, die den Kartenprojekten seit Jahren immer wieder zuteil wird, hat sich bislang nicht viel bewegt. Dabei eignet sich insbesondere die Einführung des JobCardVerfahrens als Hoffnungsträger, weil dies einen großen Schritt für die flächendeckende Verbreitung der elektronischen Signatur bedeuten würde. Immerhin könnten dann auf einen Schlag rund 35 Millionen Arbeitnehmer digitale Verwaltungs- oder Geschäftsvorgänge qualifiziert elektronisch signieren. Doch die immer neuen Ankündigungen, Konzeptänderungen und Terminverschiebungen der vergangenen Jahre haben nicht gerade dazu beigetragen, in Bezug auf die Planungen Verlässlichkeit zu suggerieren. Daher ist der Glaube an eine so genannte „Killer-Applikation“ für die qualifizierte elektronische Signatur inzwischen stark geschwächt. An moralischer Unterstützung durch die Bundesregierung, um die Verbreitung zu fördern, hat es dabei nicht gemangelt. In den vergangenen Jahren sind verschiedene Initiativen und Projekte wie das Signaturbündnis, Media@Komm und BundOnline 2005 zu genau diesem Zweck ins Leben gerufen worden. Neben den bestehenden BundOnline-Projekten sollten aber insbesondere die Länder Anreize schaffen, neue Anwendungsszenarien zu ermöglichen. Wie sich gezeigt hat, ist die Förderung der elektronischen Abwicklung von Verwaltungsakten allein durch den Bund nicht zu bewältigen. Nur wenn sie zunehmend als föderale Aufgabe verstanden wird, ist mit einem schnellen Vorankommen zu rechnen. Kosten, Nutzen und Rationalisierungseffekte Ein weiterer unerschöpflicher Diskussionspunkt im Zusammenhang mit Zertifizierungsdiensten ist die Verteilung von Kosten und Nutzen. Sicher ist insbesondere aus Sicht der Signatur-Anbieter eine anreizkompatible Verteilung der Kosten wünschenswert. Warum sollen sich z.B. die Anbieter von Anwendungen, die einen Vorteil durch die Verwendung der Signatur verbuchen können, nicht auch an den Kosten beteiligen? Schließlich können sie durch die elektronische Abwicklung von Verwaltungsakten ja auch Einsparungen realisieren. Problematisch ist dabei allerdings die notwendige Vorfinanzierung. Die anfallenden Anfangsausgaben machen sich für den Anwendungsbetreiber erst dann bezahlt, wenn eine kritische Masse an Anwendern das Angebot nutzt. Bei der Schaffung der Infrastruktur muss eine Behörde in Vorkasse gehen, was sich in ihren Budgets schwer abbilden lässt. Verbunden mit der unsicheren Prognose, ob sich in angemessener Zeit genügend Anwender finden lassen, ist dieses Dilemma gewissermaßen eine Übertragung des Henne-Ei- Problems, das von Beginn an die Verbreitung elektronischer Signaturen verzögert hat, auf eine andere Ebene. Dem Endanwender zusätzliche Kosten zuzumuten ist ebenso wenig opportun, da ein objektiver Nutzen von Signaturanwendungen für den einfachen Bürger noch nicht offensichtlich ist. Hier müssen im Gegenteil erst einmal besondere Anreize geschaffen werden, um ihn zur Anschaffung einer Signaturkarte zu bewegen. Denn um die Schaffung von Anwendungen auch für die breite Öffentlichkeit zu fördern, bedarf es zunächst der Verbreitung von Signaturkarten. Keine Krise ohne Ausweg Auf dem Weg zur Lösung der Probleme ist natürlich die Optimierung und Verschlankung der TrustCenter-Strukturen ein kontinuierlich zu betreibendes Feld. Auf Grund der geringen Anwenderzahlen kann unter den gegebenen Umständen letztlich kein TrustCenter-Betreiber kostendeckend, geschweige denn profitabel wirtschaften. Da es für die einzelnen TrustCenter schwierig ist, Einsparungen zu erzielen und dennoch die gesetzlichen Auflagen zu erfüllen, wird derzeit im Kreise der TrustCenter-Betreiber (im T7 e.V.) über Synergiepotenziale diskutiert. Ziel ist es, gemeinsam Lösungen zu entwickeln, die allen TrustCentern zugute kommen und dabei die Interoperabilität der Lösungen sicherstellen. In Kombination mit einer Anpassung der gesetzlichen Anforderungen an die Notwenigkeiten der volkswirtschaftlichen (eSignatur-) Workflows könnte sich hier ein tragfähiges und praktikables Konzept entwickeln lassen, um die qualifizierte elektronische Signatur für die Zukunft wirtschaftlich auf stabilere Füße zu stellen. Dazu müssen allerdings alle beteiligten Stellen an einem Strang ziehen.
© Copyright 2024 ExpyDoc
